CN117319054A - 一种基于容器技术的智能网络安全功能管理方法及系统 - Google Patents
一种基于容器技术的智能网络安全功能管理方法及系统 Download PDFInfo
- Publication number
- CN117319054A CN117319054A CN202311320536.7A CN202311320536A CN117319054A CN 117319054 A CN117319054 A CN 117319054A CN 202311320536 A CN202311320536 A CN 202311320536A CN 117319054 A CN117319054 A CN 117319054A
- Authority
- CN
- China
- Prior art keywords
- network
- network data
- risk
- data
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000005516 engineering process Methods 0.000 title claims abstract description 34
- 238000007726 management method Methods 0.000 title claims abstract description 26
- 230000003993 interaction Effects 0.000 claims abstract description 43
- 238000012706 support-vector machine Methods 0.000 claims abstract description 25
- 238000000034 method Methods 0.000 claims abstract description 22
- 239000002245 particle Substances 0.000 claims description 37
- 230000005540 biological transmission Effects 0.000 claims description 29
- 230000008878 coupling Effects 0.000 claims description 23
- 238000010168 coupling process Methods 0.000 claims description 23
- 238000005859 coupling reaction Methods 0.000 claims description 23
- 230000006399 behavior Effects 0.000 claims description 22
- 239000011159 matrix material Substances 0.000 claims description 12
- 238000012544 monitoring process Methods 0.000 claims description 12
- 238000004364 calculation method Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 11
- 238000011156 evaluation Methods 0.000 claims description 10
- 230000015572 biosynthetic process Effects 0.000 claims description 9
- 238000003786 synthesis reaction Methods 0.000 claims description 9
- 230000002194 synthesizing effect Effects 0.000 claims description 9
- 238000010276 construction Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 6
- 238000012550 audit Methods 0.000 claims description 4
- 238000012417 linear regression Methods 0.000 claims description 3
- 238000012856 packing Methods 0.000 claims description 3
- 238000013480 data collection Methods 0.000 claims description 2
- 230000006870 function Effects 0.000 abstract description 35
- 238000004458 analytical method Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 230000010485 coping Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000004445 quantitative analysis Methods 0.000 description 2
- 238000011158 quantitative evaluation Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于容器技术的智能网络安全功能管理方法及系统,该管理方法包括以下步骤:S1、基于Docker容器技术对网络数据进行采集,将采集到的网络数据传输至初始配置处,并利用网络数据构建实时交互模型;S2、根据数据实时交互模型中的网络数据计算网络数据的安全风险值;S3、根据动态决策模型,对网络数据中各个节点的安全态势进行评估,验证安全风险值的准确性;S4、将安全风险值作为阈值结合支持向量机构建判断模型,并制定最优判断策略,根据判断策略对网络数据进行访问控制;S5、将实时交互模型与判断模型进行连接,对网络安全功能进行持续维护。本发明实现了防范网络攻击的目的。
Description
技术领域
本发明涉及网络安全技术领域,具体来说,涉及一种基于容器技术的智能网络安全功能管理方法及系统。
背景技术
网络安全是指是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断,网络空间已经全方位渗透至国家政治、经济和文化等领域,以及社会、公众的运行和生活之中。由于网络空间包含着巨大的能量和利益,因而也成为新时期攻击者的重点关注目标。攻击者的恶意手段变化多端、更新迅速、破坏力强,对网络、计算机和信息系统构成了极大威胁,基于防火墙、入侵检测、安全审计等传统安全机制已经难以保证网络空间的安全。具体的,网络安全指的是保护计算机网络、服务器、移动设备和其他电子设备免受未经授权的访问、攻击、破坏或泄露的能力,网络安全是一个包括技术、政策和程序等多个方面的综合性问题,旨在确保网络数据的完整性、可用性和保密性。
随着网络环境的日益变化,对网络进行安全功能管理是极其必要的,网络安全功能管理可以帮助企业和组织保障信息系统的安全性,避免敏感信息被泄露、篡改或丢失等情况发生,同时可以对外部攻击进行监控和预防,有效防范黑客攻击、病毒入侵等一系列网络攻击事件,优化数据存储和传输过程中的安全机制,从而提高数据处理的效率和质量。
综上所述,故认为设计一套完整的网络安全功能管理流程保障信息安全、防范网络攻击、提高数据处理效率时极其重要的。
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
本发明为了解决上述问题,提出了一种基于容器技术的智能网络安全功能管理方法及系统,实现防范网络攻击的目的。
为了实现上述目的,本发明采用如下技术方案:
第一方面,本发明提供一种基于容器的智能网络安全功能管理方法,该管理方法包括以下步骤:
S1、基于Docker容器技术对网络数据进行采集,将采集到的网络数据传输至初始配置处,并利用网络数据构建数据实时交互模型;
S2、根据数据实时交互模型中的网络数据计算网络数据的安全风险值;
S3、根据动态决策模型,对网络数据中各个节点的安全态势进行评估,验证安全风险值的准确性;
S4、将安全风险值作为阈值结合支持向量机构建判断模型,并制定最优判断策略,根据判断策略对网络数据进行访问控制;
S5、将实时交互模型与判断模型进行连接,对网络安全功能进行持续维护,分析涉及的安全风险,并根据安全风险选择相应的判断策略。
作为可选择的实施方式,所述基于Docker容器技术对网络数据进行采集,将采集到的网络数据传输至初始配置处,并利用网络数据构建实时交互模型包括以下步骤:
S11、预设网络数据采集规模,并根据采集规模计算计算机系统发送的通信数据量;
S12、根据Docker容器技术对计算机系统进行虚假化处理,得到网络数据采集的最大化约束条件;
S13、预设网络数据的采集周期并根据Docker容器技术将网络数据采集指令转换为数据采集最短路径;
S14、根据预设的网络数据采集周期构建目标函数,依据目标函数获取采集到的网络数据;
S15、对采集到的网络数据进行初始配置处的传输,并基于Docker容器技术控制数据传输效率;
S16、基于传输完成的网络数据构建数据实时交互模型。
作为可选择的实施方式,所述预设网络数据采集规模,并根据采集规模计算计算机系统发送的通信数据量中的计算公式为:
式中,Vtotal为网络数据采集总量,Sdh为网络数据接收节点的数量,ti为网络数据的传输速率,tj为采集网络数据的速率,pl为网络数据节点的运行周期,ωz为数据节点之间的长度。
作为可选择的实施方式,所述对采集到的网络数据进行预设位置的传输,并基于Docker容器技术控制数据传输效率包括以下步骤:
S151、对采集到的网络数据按照预设标准进行排序;
S152、利用Docker容器技术的最优集成节点调整网络数据的位置;
S153、依据最优集成节点作为网络数据传输的初始位置,并按照排序将网络数据传输至初始配置处。
作为可选择的实施方式,所述根据数据实时交互模型中的网络数据计算网络数据的安全风险值包括以下步骤:
S21、通过自定义的消息格式,将数据实时交互模型中的部分网络数据打包成完整的消息体按照预设的位置进行数据传输,并对其进行离散化处理,构成网络风险系统;
S22、通过使用攻击行为耦合度计算公式计算网络攻击行为的耦合度,并根据规则进行聚类,对网络风险系统进行分解形成子风险系统;
S23、根据攻击威胁度对各个子风险系统进行属性简约,将简约后得到的子风险系统按粗糙集与D-S证据理论的联系,得到各个子风险系统的基本信度分配;
S24、根据证据合成规则,得到证据合成后的信度分配值;
S25、依据得到的信度分配值,利用D-S证据合成规则进行合成,得到虚拟机层的安全风险值;
S26、将各子系统所获得的虚拟机层的安全风险值进行合成,得到物理机层的安全风险值,并将物理机层的安全风险值进行合成,得到网络安全的风险值。
作为可选择的实施方式,所述通过使用攻击行为耦合度计算公式计算网络攻击行为的耦合度,并根据规则进行聚类,对网络风险系统进行分解形成子风险系统包括以下步骤:
S221、将网络风险系统进行预设位置的导入;
S222、计算攻击行为A对于攻击行为B之间的耦合度;
S223、根据各网络攻击行为之间的耦合度构建协方差矩阵,并将协方差矩阵转换为对称方阵;
S224、根据预设规则对网络攻击行为的耦合度进行聚类;
S225、根据网络攻击行为的聚类结果分解原始的网络安全风险系统,得到分解后的各个子系统。
作为可选择的实施方式,所述将安全风险值作为阈值结合支持向量机构建判断模型,并制定最优判断策略,根据判断策略对网络数据进行访问控制包括以下步骤:
S41、将安全风险值作为网络安全风险规则,并将网络数据分为样本输入与样本输出表示网络安全风险的训练样本集;
S42、将网络安全风险的训练样本集内网络安全事件样本利用非线性映射函数映射至高维特征空间内,得到网络安全事件评估的最优线性回归函数表达式;
S43、基于上述步骤计算获取支撑向量机回归模型,并选取QPSO算法对支持向量机的参数进行寻优处理;
S44、基于QPSO算法内粒子数量构建网络安全风险判断模型,并利用风险判断模型获取网络安全风险判断节点;
S45、基于风险判断节点制定风险最优判断策略,并根据判断策略对输入至模型内部的网络数据进行访问控制。
作为可选择的实施方式,所述基于QPSO算法内粒子数量构建网络安全风险判断模型,并利用风险判断模型获取网络安全风险判断节点包括以下步骤:
S441、根据网络安全风险判断规模设置粒子群内粒子数量,粒子群内粒子维度分别表示用于估计网络安全风险支持向量机的参数;
S442、设置优化支持向量机参数的粒子群算法的参数及最大迭代次数,并获取粒子的适应度函数;
S443、计算粒子的最优个体位置以及全局最优位置,建立网络安全信息库,并更新粒子群内各粒子位置;
S444、依据上述步骤重复迭代计算,判断是否满足终止条件,满足终止条件时,则继续执行下一步,反之则返回至步骤S442;
S445、将通过以上过程所获取的最优粒子作为支持向量机参数,完成网络安全风险判断模型的建立;
S446、从网络数据中选取数据输入至风险判断模型中形成策略集;
S447、从策略集中选择一组进行分解形成任务集,并选择能够执行任务集内判断结果的候选集;
S448、对候选集进行区间分配,将分配结果作为网络安全风险判断节点,包括高风险、中风险及低风险。
作为可选择的实施方式,所述基于风险判断节点制定风险最优判断策略,并根据判断策略对输入至模型内部的网络数据进行访问控制包括以下步骤:
S451、针对于高风险判定节点将输入的网络数据与其它数据进行隔离并对其进行标记,同时限制其访问权限;
S452、针对于中风险判定节点将输入的网络数据进行审计,若审计完成网络数据为中风险判定节点则限制其访问权限,反之为低风险判定节点,则允许其访问权限;
S453、针对于低风险判定节点将输入的网络数据进行时时监测,允许其访问权限。
第二方面,本发明提供一种基于容器的智能网络安全功能管理系统,该基于容器的智能网络安全功能管理系统包括:数据传输模块、规则制定模块、评估模块、构建判断模块及监控模块;
其中,所述数据传输模块,用于基于Docker容器技术对网络数据进行采集,将采集到的网络数据传输至初始配置处,并利用网络数据构建实时交互模型;具体的,Docker容器是一个开源的应用容器引擎,让开发者可以以统一的方式打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何安装了docker引擎的服务器上(包括流行的Linux机器、windows机器),也可以实现虚拟化。
所述规则制定模块,用于根据数据实时交互模型中的网络数据计算网络数据的安全风险值;
所述评估模块,用于根据动态决策模型,对网络数据中各个节点的安全态势进行评估,验证安全风险值的准确性;
所述构建判断模块,用于将安全风险值作为阈值结合支持向量机构建判断模型,并制定最优判断策略,根据判断策略对网络数据进行访问控制;
所述监控模块,用于将实时交互模型与判断模型进行连接,对网络安全功能进行持续维护,分析涉及的安全风险,并根据风险选择相应的判断策略。
本发明实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
1、本发明提供的一种基于容器的智能网络安全功能管理方法及系统,首先提供收集网络数据并基于网络数据制定实时交互模型,便于后期对网络数据的监控和防护,基于网络数据进行安全值的制定,同时根据安全值构建判断模型制定最优判断策略,实现根据判断策略对网络数据进行访问控制,进而当安全功能出现故障或遭受攻击时,能够进行故障排除和恢复工作,以确保网络的安全和稳定运行。
2、本发明基于网络数据设定安全值,并根据安全值构建风险判断模型,使得能够通过设定风险判断模型,可以对网络安全风险进行定量评估和分析,提高系统的安全性,同时根据设定的风险判断模型,可以精准地识别和预测可能存在的风险,并采取相应措施进行预防和应对。
3、本发明通过将数据交互模型与网络安全判断模型进行连接,使得能够提高网络的安全性,网络安全判断模型可以识别潜在的威胁和漏洞,并及时采取措施进行应对,从而保障数据的安全,降低了被攻击或遭受数据泄露的风险,网络安全判断模型可以监控数据交互过程中的异常情况,及时发现和防范风险,可以实现数据的自动化处理和管理,提高数据交互的效率,实现自动分析和处理网络安全事件,减少人工干预,提高响应速度。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1是根据本发明实施例的一种基于容器的智能网络安全功能管理方法的流程图;
图2是根据本发明实施例的一种基于容器的智能网络安全功能管理系统的原理框图。
图中:
1、数据传输模块;2、规则制定模块;3、评估模块;4、构建判断模块;5、监控模块。
具体实施方式
下面结合附图与实施例对本发明做进一步说明。
应该指出,以下详细说明都是示例性的,旨在对本发明提供进一步的说明。除非另有指明,本发明使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
请参阅图1,本发明提供一种基于容器技术的智能网络安全功能管理方法,该管理方法包括以下步骤:
S1、基于Docker容器技术对网络数据进行采集,将采集到的网络数据传输至初始配置处,并利用网络数据构建数据实时交互模型。
在本实施例中,所述基于Docker容器技术对网络数据进行采集,将采集到的网络数据传输至初始配置处,并利用网络数据构建实时交互模型包括以下步骤:
S11、预设网络数据采集规模,并根据采集规模计算计算机系统发送的通信数据量;
具体的,所述预设网络数据采集规模,并根据采集规模计算计算机系统发送的通信数据量中的计算公式为:
式中,Vtotal为网络数据采集总量,Sdh为网络数据接收节点的数量,ti为网络数据的传输速率,tj为采集网络数据的速率,pl为网络数据节点的运行周期,ωz为数据节点之间的长度。
S12、根据Docker容器技术对计算机系统进行虚假化处理,得到网络数据采集的最大化约束条件;
S13、预设网络数据的采集周期并根据Docker容器技术将网络数据采集指令转换为数据采集最短路径;
S14、根据预设的网络数据采集周期构建目标函数,依据目标函数获取采集到的网络数据;
S15、对采集到的网络数据进行初始配置处的传输,并基于Docker容器技术控制数据传输效率。
在本实施例中,所述对采集到的网络数据进行预设位置的传输,并基于Docker容器技术控制数据传输效率包括以下步骤:
S151、对采集到的网络数据按照预设标准进行排序;
S152、利用Docker容器技术的最优集成节点调整网络数据的位置;
S153、依据最优集成节点作为网络数据传输的初始位置,并按照排序将网络数据传输至初始配置处。
S16、基于传输完成的网络数据构建数据实时交互模型。
S2、根据数据实时交互模型中的网络数据计算网络数据的安全风险值。
在本实施例中,所述根据数据实时交互模型中的网络数据计算网络数据的安全风险值包括以下步骤:
S21、通过自定义的消息格式,将数据实时交互模型中的部分网络数据打包成完整的消息体按照预设的位置进行数据传输,并对其进行离散化处理,构成网络风险系统;
S22、通过使用攻击行为耦合度计算公式计算网络攻击行为的耦合度,并根据规则进行聚类,对网络风险系统进行分解形成子风险系统。
具体的,所述通过使用攻击行为耦合度计算公式计算网络攻击行为的耦合度,并根据规则进行聚类,对网络风险系统进行分解形成子风险系统包括以下步骤:
S221、将网络风险系统进行预设位置的导入;
S222、计算攻击行为A对于攻击行为B之间的耦合度;
具体的,计算攻击行为A对于攻击行为B之间的耦合度中的计算公式为:
式中,λA(B)表示攻击行为A对于攻击行为B之间的耦合度,POSB(A)表示网络攻击行为A关于云网络攻击行为B的正域,|U|表示网络攻击事件的个数。
S223、根据各网络攻击行为之间的耦合度构建协方差矩阵,并将协方差矩阵转换为对称方阵;
S224、根据预设规则对网络攻击行为的耦合度进行聚类;
S225、根据网络攻击行为的聚类结果分解原始的网络安全风险系统,得到分解后的各个子系统。
S23、根据攻击威胁度对各个子风险系统进行属性约简,将简约后得到的子风险系统按粗糙集与D-S证据理论的联系,得到各个子风险系统的基本信度分配。
具体的,根据攻击威胁度对各个子风险系统进行属性约简的步骤为:
首先建立攻击威胁度矩阵,并计算所有子系统的属性;
计算攻击威胁度矩阵,直至矩阵中全部元素均为0。
S24、根据证据合成规则,得到证据合成后的信度分配值;
S25、依据得到的信度分配值,利用D-S证据合成规则进行合成,得到虚拟机层的安全风险值。
S26、将各子系统所获得的虚拟机层的安全风险值进行合成,得到物理机层的安全风险值,并将物理机层的安全风险值进行合成,得到网络安全的风险值。
S3、根据动态决策模型,对网络数据中各个节点的安全态势进行评估,验证安全风险值的准确性。
具体的,动态决策模型可以对网络数据中各个节点的安全态势进行评估,验证安全风险值的准确性。具体来说,该模型可以通过以下步骤实现:
收集网络数据中各个节点的安全状态信息,包括漏洞情况、异常访问和攻击事件等。
利用机器学习算法,对已收集到的数据进行分析和处理,构建安全状态模型,并预测未来可能出现的安全风险。
基于安全状态模型的分析结果,制定相应的安全决策方案,包括防御措施、应急响应等。
根据决策制定后的实际效果,对模型进行反馈和更新,进一步提高安全风险评估的准确性和精度。
S4、将安全风险值作为阈值结合支持向量机构建判断模型,并制定最优判断策略,根据判断策略对网络数据进行访问控制。
在本实施例中,所述将安全风险值作为阈值结合支持向量机构建判断模型,并制定最优判断策略,根据判断策略对网络数据进行访问控制包括以下步骤:
S41、将安全风险值作为网络安全风险规则,并将网络数据分为样本输入与样本输出表示网络安全风险的训练样本集;
S42、将网络安全风险的训练样本集内网络安全事件样本利用非线性映射函数映射至高维特征空间内,得到网络安全事件评估的最优线性回归函数表达式;
S43、基于上述步骤计算获取支撑向量机回归模型,并选取QPSO算法对支持向量机的参数进行寻优处理;
S44、基于QPSO算法内粒子数量构建网络安全风险判断模型,并利用风险判断模型获取网络安全风险判断节点。
其中,QPSO算法是一种基于粒子群优化(PSO)算法的新型智能优化算法。它源于传统PSO算法,但与之不同的是,QPSO算法通过引入量子行为,实现了更快速、更准确的全局搜索和优化结果。
具体的,所述基于QPSO算法内粒子数量构建网络安全风险判断模型,并利用风险判断模型获取网络安全风险判断节点包括以下步骤:
S441、根据网络安全风险判断规模设置粒子群内粒子数量,粒子群内粒子维度分别表示用于估计网络安全风险支持向量机的参数;
S442、设置优化支持向量机参数的粒子群算法的参数及最大迭代次数,并获取粒子的适应度函数;
S443、计算粒子的最优个体位置以及全局最优位置,建立网络安全信息库,并更新粒子群内各粒子位置;
S444、依据上述步骤重复迭代计算,判断是否满足终止条件,满足终止条件时,则继续执行下一步,反之则返回至步骤S442;
S445、将通过以上过程所获取的最优粒子作为支持向量机参数,完成网络安全风险判断模型的建立;
S446、从网络数据中选取数据输入至风险判断模型中形成策略集;
S447、从策略集中选择一组进行分解形成任务集,并选择能够执行任务集内判断结果的候选集;
S448、对候选集进行区间分配,将分配结果作为网络安全风险判断节点,包括高风险、中风险及低风险。
S45、基于风险判断节点制定风险最优判断策略,并根据判断策略对输入至模型内部的网络数据进行访问控制。
具体的,所述基于风险判断节点制定风险最优判断策略,并根据判断策略对输入至模型内部的网络数据进行访问控制包括以下步骤:
S451、针对于高风险判定节点将输入的网络数据与其它数据进行隔离并对其进行标记,同时限制其访问权限;
S452、针对于中风险判定节点将输入的网络数据进行审计,若审计完成网络数据为中风险判定节点则限制其访问权限,反之为低风险判定节点,则允许其访问权限;
S453、针对于低风险判定节点将输入的网络数据进行时时监测,允许其访问权限。
S5、将实时交互模型与判断模型进行连接,对网络安全功能进行持续维护,分析涉及的安全风险,并根据安全风险选择相应的判断策略。
具体的,将实时交互模型与判断模型进行连接,对网络安全功能进行持续维护,包括以下步骤:
通过实时交互模型,收集网络安全相关的实时数据,包括网络流量、访问记录、主机日志等。
通过判断模型,对采集到的数据进行分析和处理,构建安全状态模型,并预测未来可能出现的安全风险。
基于安全状态模型的分析结果,选择相应的判断策略,包括防御措施、应急响应等,以应对不同类型的安全威胁。
根据判断策略的执行效果,对系统进行持续维护和优化,以确保网络安全功能的高效运行。
请参阅图2,本发明还提供一种基于容器的智能网络安全功能管理系统,该基于容器的智能网络安全功能管理系统包括:数据传输模块1、规则制定模块2、评估模块3、构建判断模块4及监控模块5;
其中,所述数据传输模块1,用于基于Docker容器技术对网络数据进行采集,将采集到的网络数据传输至初始配置处,并利用网络数据构建实时交互模型;
所述规则制定模块2,用于根据数据实时交互模型中的网络数据计算网络数据的安全风险值;
所述评估模块3,用于根据动态决策模型,对网络数据中各个节点的安全态势进行评估,验证安全风险值的准确性;
所述构建判断模块4,用于将安全风险值作为阈值结合支持向量机构建判断模型,并制定最优判断策略,根据判断策略对网络数据进行访问控制;
所述监控模块5,用于将实时交互模型与判断模型进行连接,对网络安全功能进行持续维护,分析涉及的安全风险,并根据风险选择相应的判断策略。
综上所述,借助于本发明的上述技术方案,本发明提供的一种基于容器的智能网络安全功能管理方法及系统,首先提供收集网络数据并基于网络数据制定实时交互模型,便于后期对网络数据的监控和防护,基于网络数据进行安全值的制定,同时根据安全值构建判断模型制定最优判断策略,实现根据判断策略对网络数据进行访问控制,进而当安全功能出现故障或遭受攻击时,能够进行故障排除和恢复工作,以确保网络的安全和稳定运行。本发明基于网络数据设定安全值,并根据安全值构建风险判断模型,使得能够通过设定风险判断模型,可以对网络安全风险进行定量评估和分析,提高系统的安全性,同时根据设定的风险判断模型,可以精准地识别和预测可能存在的风险,并采取相应措施进行预防和应对。
本发明通过将数据交互模型与网络安全判断模型进行连接,使得能够提高网络的安全性,网络安全判断模型可以识别潜在的威胁和漏洞,并及时采取措施进行应对,从而保障数据的安全,降低了被攻击或遭受数据泄露的风险,网络安全判断模型可以监控数据交互过程中的异常情况,及时发现和防范风险,可以实现数据的自动化处理和管理,提高数据交互的效率,实现自动分析和处理网络安全事件,减少人工干预,提高响应速度。
本领域普通技术人员可以意识到,结合本实施例描述的各示例的单元即算法步骤,能够以电子硬件或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (8)
1.一种基于容器技术的智能网络安全功能管理方法,其特征在于,该管理方法包括以下步骤:
S1、基于Docker容器技术对网络数据进行采集,将采集到的网络数据传输至初始配置处,并利用网络数据构建数据实时交互模型;
S2、根据数据实时交互模型中的网络数据计算网络数据的安全风险值;
S3、根据动态决策模型,对网络数据中各个节点的安全态势进行评估,验证安全风险值的准确性;
S4、将安全风险值作为阈值结合支持向量机构建判断模型,并制定最优判断策略,根据判断策略对网络数据进行访问控制;
S5、将实时交互模型与判断模型进行连接,对网络安全功能进行持续维护,分析涉及的安全风险,并根据安全风险选择相应的判断策略;
其中,所述基于Docker容器技术对网络数据进行采集,将采集到的网络数据传输至初始配置处,并利用网络数据构建数据实时交互模型包括以下步骤:
S11、预设网络数据采集规模,并根据采集规模计算计算机系统发送的通信数据量;
S12、根据Docker容器技术对计算机系统进行虚假化处理,得到网络数据采集的最大化约束条件;
S13、预设网络数据的采集周期并根据Docker容器技术将网络数据采集指令转换为数据采集最短路径;
S14、根据预设的网络数据采集周期构建目标函数,依据目标函数获取采集到的网络数据;
S15、对采集到的网络数据进行初始配置处的传输,并基于Docker容器技术控制数据传输效率;
S16、基于传输完成的网络数据构建数据实时交互模型;
所述对采集到的网络数据进行预设位置的传输,并基于Docker容器技术控制数据传输效率包括以下步骤:
S151、对采集到的网络数据按照预设标准进行排序;
S152、利用Docker容器技术的最优集成节点调整网络数据的位置;
S153、依据最优集成节点作为网络数据传输的初始位置,并按照排序将网络数据传输至初始配置处。
2.根据权利要求1所述的一种基于容器的智能网络安全功能管理方法,其特征在于,所述根据数据实时交互模型中的网络数据计算网络数据的安全风险值包括以下步骤:
S21、通过自定义的消息格式,将数据实时交互模型中的部分网络数据打包成完整的消息体按照预设的位置进行数据传输,并对其进行离散化处理,构成网络风险系统;
S22、通过使用攻击行为耦合度计算公式计算网络攻击行为的耦合度,并根据规则进行聚类,对网络风险系统进行分解形成子风险系统;
S23、根据攻击威胁度对各个子风险系统进行属性简约,将简约后得到的子风险系统按粗糙集与D-S证据理论的联系,得到各个子风险系统的基本信度分配;
S24、根据证据合成规则,得到证据合成后的信度分配值;
S25、依据得到的信度分配值,利用D-S证据合成规则进行合成,得到虚拟机层的安全风险值;
S26、将各子系统所获得的虚拟机层的安全风险值进行合成,得到物理机层的安全风险值,并将物理机层的安全风险值进行合成,得到网络安全的风险值。
3.根据权利要求2所述的一种基于容器的智能网络安全功能管理方法,其特征在于,所述预设网络数据采集规模,并根据采集规模计算计算机系统发送的通信数据量的计算公式为:
式中,Vtotal为网络数据采集总量,Sdh为网络数据接收节点的数量,ti为网络数据的传输速率,tj为采集网络数据的速率,pl为网络数据节点的运行周期,ωz为数据节点之间的长度。
4.根据权利要求1所述的一种基于容器的智能网络安全功能管理方法,其特征在于,所述通过使用攻击行为耦合度计算公式计算网络攻击行为的耦合度,并根据规则进行聚类,对网络风险系统进行分解形成子风险系统包括以下步骤:
S221、将网络风险系统进行预设位置的导入;
S222、计算攻击行为A对于攻击行为B之间的耦合度;
S223、根据各网络攻击行为之间的耦合度构建协方差矩阵,并将协方差矩阵转换为对称方阵;
S224、根据预设规则对网络攻击行为的耦合度进行聚类;
S225、根据网络攻击行为的聚类结果分解原始的网络安全风险系统,得到分解后的各个子系统。
5.根据权利要求4所述的一种基于容器的智能网络安全功能管理方法,其特征在于,所述将安全风险值作为阈值结合支持向量机构建判断模型,并制定最优判断策略,根据判断策略对网络数据进行访问控制包括以下步骤:
S41、将安全风险值作为网络安全风险规则,并将网络数据分为样本输入与样本输出表示网络安全风险的训练样本集;
S42、将网络安全风险的训练样本集内网络安全事件样本利用非线性映射函数映射至高维特征空间内,得到网络安全事件评估的最优线性回归函数表达式;
S43、基于上述步骤计算获取支撑向量机回归模型,并选取QPSO算法对支持向量机的参数进行寻优处理;
S44、基于QPSO算法内粒子数量构建网络安全风险判断模型,并利用风险判断模型获取网络安全风险判断节点;
S45、基于风险判断节点制定风险最优判断策略,并根据判断策略对输入至模型内部的网络数据进行访问控制。
6.根据权利要求5所述的一种基于容器的智能网络安全功能管理方法,其特征在于,所述基于QPSO算法内粒子数量构建网络安全风险判断模型,并利用风险判断模型获取网络安全风险判断节点包括以下步骤:
S441、根据网络安全风险判断规模设置粒子群内粒子数量,粒子群内粒子维度分别表示用于估计网络安全风险支持向量机的参数;
S442、设置优化支持向量机参数的粒子群算法的参数及最大迭代次数,并获取粒子的适应度函数;
S443、计算粒子的最优个体位置以及全局最优位置,建立网络安全信息库,并更新粒子群内各粒子位置;
S444、依据上述步骤重复迭代计算,判断是否满足终止条件,满足终止条件时,则继续执行下一步,反之则返回至步骤S442;
S445、将通过以上过程所获取的最优粒子作为支持向量机参数,完成网络安全风险判断模型的建立;
S446、从网络数据中选取数据输入至风险判断模型中形成策略集;
S447、从策略集中选择一组进行分解形成任务集,并选择能够执行任务集内判断结果的候选集;
S448、对候选集进行区间分配,将分配结果作为网络安全风险判断节点,包括高风险、中风险及低风险。
7.根据权利要求6所述的一种基于容器的智能网络安全功能管理方法,其特征在于,所述基于风险判断节点制定风险最优判断策略,并根据判断策略对输入至模型内部的网络数据进行访问控制包括以下步骤:
S451、针对于高风险判定节点将输入的网络数据与其它数据进行隔离并对其进行标记,同时限制其访问权限;
S452、针对于中风险判定节点将输入的网络数据进行审计,若审计完成网络数据为中风险判定节点则限制其访问权限,反之为低风险判定节点,则允许其访问权限;
S453、针对于低风险判定节点将输入的网络数据进行时时监测,允许其访问权限。
8.一种基于容器技术的智能网络安全功能管理系统,用于实现权利要求1-7中任一项所述的基于容器的智能网络安全功能管理方法,其特征在于,该基于容器的智能网络安全功能管理系统包括:数据传输模块、规则制定模块、评估模块、构建判断模块及监控模块;
其中,所述数据传输模块,用于基于Docker容器技术对网络数据进行采集,将采集到的网络数据传输至初始配置处,并利用网络数据构建数据实时交互模型;
所述规则制定模块,用于根据数据实时交互模型中的网络数据计算网络数据的安全风险值;
所述评估模块,用于根据动态决策模型,对网络数据中各个节点的安全态势进行评估,验证安全风险值的准确性;
所述构建判断模块,用于将安全风险值作为阈值结合支持向量机构建判断模型,并制定最优判断策略,根据判断策略对网络数据进行访问控制;
所述监控模块,用于将实时交互模型与判断模型进行连接,对网络安全功能进行持续维护,分析涉及的安全风险,并根据安全风险选择相应的判断策略。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2023110118757 | 2023-08-11 | ||
CN202311011875 | 2023-08-11 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117319054A true CN117319054A (zh) | 2023-12-29 |
CN117319054B CN117319054B (zh) | 2024-05-17 |
Family
ID=89259995
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311320536.7A Active CN117319054B (zh) | 2023-08-11 | 2023-10-12 | 一种基于容器技术的智能网络安全功能管理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117319054B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120317058A1 (en) * | 2011-06-13 | 2012-12-13 | Abhulimen Kingsley E | Design of computer based risk and safety management system of complex production and multifunctional process facilities-application to fpso's |
CN106446940A (zh) * | 2016-09-13 | 2017-02-22 | 大连理工大学 | 一种基于支持向量机的超级电容器电容值退化趋势的预测方法 |
CN107526626A (zh) * | 2017-08-24 | 2017-12-29 | 武汉大学 | 一种基于CRIU的Docker容器热迁移方法及系统 |
CN110995561A (zh) * | 2019-12-06 | 2020-04-10 | 中国科学院信息工程研究所 | 基于容器技术的虚拟网络数据通信交互方法与系统 |
EP3635930A1 (en) * | 2017-06-08 | 2020-04-15 | British Telecommunications Public Limited Company | Denial of service mitigation |
US10848515B1 (en) * | 2016-12-02 | 2020-11-24 | University Of South Florida | Predictive model for overall network security risk |
CN113268739A (zh) * | 2021-05-13 | 2021-08-17 | 江苏拓邮信息智能技术研究院有限公司 | 一种Docker镜像安全性检测方法 |
CN114531297A (zh) * | 2022-03-08 | 2022-05-24 | 四川中电启明星信息技术有限公司 | 一种面向边缘计算的容器安全风险评估方法 |
CN115688854A (zh) * | 2022-11-10 | 2023-02-03 | 无锡学院 | 一种基于高斯分布qpso算法的工程优化求解方法 |
CN115987531A (zh) * | 2021-10-13 | 2023-04-18 | 北京卫达信息技术有限公司 | 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 |
CN116015875A (zh) * | 2022-12-26 | 2023-04-25 | 北京火山引擎科技有限公司 | 一种容器环境安全防护方法、装置、设备及存储介质 |
CN116055130A (zh) * | 2022-12-26 | 2023-05-02 | 深圳开源互联网安全技术有限公司 | 基于rasp的siem日志管理方法、装置、设备及介质 |
CN116155604A (zh) * | 2023-02-15 | 2023-05-23 | 中国光大银行股份有限公司 | 一种容器网络微隔离防护方法、装置、设备及存储介质 |
-
2023
- 2023-10-12 CN CN202311320536.7A patent/CN117319054B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120317058A1 (en) * | 2011-06-13 | 2012-12-13 | Abhulimen Kingsley E | Design of computer based risk and safety management system of complex production and multifunctional process facilities-application to fpso's |
CN106446940A (zh) * | 2016-09-13 | 2017-02-22 | 大连理工大学 | 一种基于支持向量机的超级电容器电容值退化趋势的预测方法 |
US10848515B1 (en) * | 2016-12-02 | 2020-11-24 | University Of South Florida | Predictive model for overall network security risk |
EP3635930A1 (en) * | 2017-06-08 | 2020-04-15 | British Telecommunications Public Limited Company | Denial of service mitigation |
CN107526626A (zh) * | 2017-08-24 | 2017-12-29 | 武汉大学 | 一种基于CRIU的Docker容器热迁移方法及系统 |
CN110995561A (zh) * | 2019-12-06 | 2020-04-10 | 中国科学院信息工程研究所 | 基于容器技术的虚拟网络数据通信交互方法与系统 |
CN113268739A (zh) * | 2021-05-13 | 2021-08-17 | 江苏拓邮信息智能技术研究院有限公司 | 一种Docker镜像安全性检测方法 |
CN115987531A (zh) * | 2021-10-13 | 2023-04-18 | 北京卫达信息技术有限公司 | 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 |
CN114531297A (zh) * | 2022-03-08 | 2022-05-24 | 四川中电启明星信息技术有限公司 | 一种面向边缘计算的容器安全风险评估方法 |
CN115688854A (zh) * | 2022-11-10 | 2023-02-03 | 无锡学院 | 一种基于高斯分布qpso算法的工程优化求解方法 |
CN116015875A (zh) * | 2022-12-26 | 2023-04-25 | 北京火山引擎科技有限公司 | 一种容器环境安全防护方法、装置、设备及存储介质 |
CN116055130A (zh) * | 2022-12-26 | 2023-05-02 | 深圳开源互联网安全技术有限公司 | 基于rasp的siem日志管理方法、装置、设备及介质 |
CN116155604A (zh) * | 2023-02-15 | 2023-05-23 | 中国光大银行股份有限公司 | 一种容器网络微隔离防护方法、装置、设备及存储介质 |
Non-Patent Citations (3)
Title |
---|
EHSAN MOSTAJERAN; MOHD NIZAM MOHD MYDIN; MOHAMMAD FAIRUS KHALID;: "Quantitative risk assessment of container based cloud platform", 《2017 IEEE CONFERENCE ON APPLICATION, INFORMATION AND NETWORK SECURITY (AINS)》, 29 January 2018 (2018-01-29) * |
梁琦;: "云计算中使用容器技术的信息安全风险与对策分析", 信息通信, no. 04, 15 April 2018 (2018-04-15) * |
鲁涛;陈杰;史军;: "Docker安全性研究", 计算机技术与发展, no. 06, 24 February 2018 (2018-02-24) * |
Also Published As
Publication number | Publication date |
---|---|
CN117319054B (zh) | 2024-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
Shameli-Sendi et al. | Intrusion response systems: survey and taxonomy | |
US20080115221A1 (en) | System and method for predicting cyber threat | |
CN112637220A (zh) | 一种工控系统安全防护方法及装置 | |
CN112153047B (zh) | 一种基于区块链的网络安全运维及防御方法及系统 | |
Al-Janabi | Pragmatic miner to risk analysis for intrusion detection (PMRA-ID) | |
Dhakar et al. | A novel data mining based hybrid intrusion detection framework | |
Wu et al. | Risk assessment method for cybersecurity of cyber-physical systems based on inter-dependency of vulnerabilities | |
CN117614745B (zh) | 一种用于处理器网络防护的协同防御方法及系统 | |
EP3623983A1 (en) | Method and device for identifying security threats, storage medium, processor and terminal | |
CN117081868B (zh) | 一种基于安全策略的网络安全运营方法 | |
Yadav et al. | Assessment of SCADA system vulnerabilities | |
Hasan et al. | Artificial intelligence empowered cyber threat detection and protection for power utilities | |
Rajesh et al. | Evaluation of machine learning algorithms for detection of malicious traffic in scada network | |
CN117319054B (zh) | 一种基于容器技术的智能网络安全功能管理方法及系统 | |
CN102307184A (zh) | 基于入侵容忍的信息资产保护方法 | |
CN114448718B (zh) | 一种并行检测和修复的网络安全保障方法 | |
Zaghdoud et al. | Contextual fuzzy cognitive map for intrusion response system | |
Yeshwanth et al. | Adoption and Assessment of Machine Learning Algorithms in Security Operations Centre for Critical Infrastructure | |
Yassine et al. | Security Risk Assessment Methodologies in The Internet of Things: Survey and Taxonomy | |
Wang et al. | Industrial information security detection and protection: Monitoring and warning platform architecture design and cryptographic antitheft technology system upgrade | |
Hurst et al. | Managing critical infrastructures through behavioural observation | |
Cao et al. | Design of network security situation awareness analysis module for electric power dispatching and control system | |
Alzubi et al. | Threats, Security and Safety of Cyber-Physical Systems in Construction Industry | |
CN118018231A (zh) | 隔离区的安全策略管理方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |